Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:RKit/Agent.deoh
Entdeckt am:13/07/2012
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig bis mittel
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig
Dateigre:6.400 Bytes
MD5 Prfsumme:f48ec0c212f2a39dbb1ac08383cbaa9f
VDF Version:7.11.36.22 - Freitag, 13. Juli 2012
IVDF Version:7.11.36.22 - Freitag, 13. Juli 2012

 Allgemein Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Rootkit.Win32.Agent.deoh
     Avast: Win32:Agent-AOTK


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • nderung an der Registry

 Registry Folgende Registryschlssel werden hinzugefgt:

[HKLM\SYSTEM\ControlSet001\Services\
   %Name der ausgefhrten Datei ohne Erweiterung%]
   • ""=""
   • "DisplayName"="%Name der ausgefhrten Datei ohne Erweiterung%"

[HKLM\SYSTEM\ControlSet001\Services\
   %Name der ausgefhrten Datei ohne Erweiterung%\Enum]
   • ""=""
   • "Count"="dword:0x00000000"
   • "INITSTARTFAILED"="dword:0x00000001"
   • "NextInstance"="dword:0x00000000"

[HKLM\SYSTEM\ControlSet001\Services\
   %Name der ausgefhrten Datei ohne Erweiterung%]
   • "ErrorControl"="dword:0x00000001"
   • "ImagePath"="\??\%Verzeichnisname%\%ausgefhrte Datei%"

[HKLM\SYSTEM\ControlSet001\Services\
   %Name der ausgefhrten Datei ohne Erweiterung%\Security]
   • ""=""
   • "Security"="hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
   • ,00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,\
   • ,00,00,01,00,00,00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,\
   • ,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,\
   • ,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,\
   • ,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
   • ,00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,\
   • ,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,\
   • ,00,00,05,12,00,00,00"

[HKLM\SYSTEM\ControlSet001\Services\
   %Name der ausgefhrten Datei ohne Erweiterung%]
   • "Start"="dword:0x00000003"
   • "Type"="dword:0x00000001"

[HKLM\SYSTEM\CurrentControlSet\Services\
   %Name der ausgefhrten Datei ohne Erweiterung%]
   • ""=""
   • "DisplayName"="%Name der ausgefhrten Datei ohne Erweiterung%"

[HKLM\SYSTEM\CurrentControlSet\Services\
   %Name der ausgefhrten Datei ohne Erweiterung%\Enum]
   • ""=""
   • "Count"="dword:0x00000000"
   • "INITSTARTFAILED"="dword:0x00000001"
   • "NextInstance"="dword:0x00000000"

[HKLM\SYSTEM\CurrentControlSet\Services\
   %Name der ausgefhrten Datei ohne Erweiterung%]
   • "ErrorControl"="dword:0x00000001"
   • "ImagePath"="\??\%Verzeichnisname%\%ausgefhrte Datei%"

[HKLM\SYSTEM\CurrentControlSet\Services\
   %Name der ausgefhrten Datei ohne Erweiterung%\Security]
   • ""=""
   • "Security"="hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
   • ,00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,\
   • ,00,00,01,00,00,00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,\
   • ,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,\
   • ,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,\
   • ,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
   • ,00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,\
   • ,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,\
   • ,00,00,05,12,00,00,00"

[HKLM\SYSTEM\CurrentControlSet\Services\
   %Name der ausgefhrten Datei ohne Erweiterung%]
   • "Start"="dword:0x00000003"
   • "Type"="dword:0x00000001"

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.

Die Beschreibung wurde erstellt von Martin Muench am Samstag, 14. Juli 2012
Die Beschreibung wurde geändert von Martin Muench am Samstag, 14. Juli 2012

zurück . . . .